Нужно сделать свой домен, и ввести его в их лес, а уже там создавать юзверей в их АД.

на самбе? я собственно опасаюсь за 1. надежность работы 2. принциальную возможность это сделать

бери четвёртую самбу, там всё есть, толковых win-ребят не существует, они за деньги только dcpromo способны набрать, да и то с непредсказуемым результатом.

Нет, в винде все подругому. Для затравки- какой у них версии сервак? 2008? 2008 R2? 2012?

Не надо писать бред, особенно когда не разбираешься в вопросе. Есть очень крутые профы по ВинСервер.

Оно-то, разумеется, можно, но линукс здеь ни при чем.

Только их крутость измеряется не числом успешных внедрений, а количеством денег, которые они берут за работу. Так что не пиши тут бред.

нужно запилить AD у нас, и потом как-то объединить с центральным.

это называется поддомен.

толковых win-ребят не существует

4.2

говорят, 2003r2

как же не при чем, если самбу я буду гонять именно на моей debian серверной машинке?

Видимо вы не видели настоящих Форточко-админов. Не которые сидят жЁпки растят, а реально работают. Открою тебе америку, бывают и OS X-админы даже. :-)

Видал, они обсуждали wsus, я лучше самбу4 на федору поставлю чем их звать.

А вон чаво... Тадыть да, Самба 4ая, создаешь сабдомен в их лесу, подрубаешь их АД, и на основе их АД зодаешь юзеров в ней.

спасибо!

А я лучше OpenDirectory создав в домене, и вообще у меня везде Маки. У всех всё «лучше», но уважаемый ТС просит помощи- значит надо помочь, а не говорить что лучше, без обид. :-)

Да никаких обид, просто сайт у нас о линуксе и ibm dw, судя по главной странице, так что надо ставить самбу, ничего не поделаешь

Кстати, зацени мою тему про Зентиал и самбу с керберосом, ниче не сможешь подсказать? Заколебался уже, недели две копошусь. :-(

В общем, тут вот что: в треде народ тебе пишет про субдомен, а вот сама MS, емнип, рекомендует без явной надобности субдомены не плодить, а обходиться в подобном твоему случае созданием сайта в рамках одного домена.
Насчет самбы _в такой конфигурации_ лично я ничего сказать не могу - не практиковал. Может, более опытные в самбе чуваки (с историей успеха за плечами) меня дополнят.

было бы здорово)

товарищи, как это сделать _правильно_?

Скок у тебя в офисе людей? И какой между вами канал?

100 + 60

интернеты 20Мбит, на работу хватает, но если чо, можно и побольше прикупить

Тогда что мешает поднять VPN между офисами и завести все в AD головного офиса?

не знаю) это хорошее решение?

например, в случае недоступности головного офиса, как недавно было, по причине переезда — все ли будет хорошо?

кто бы там что не говорил про "вендовых админов"

Твоя задачка делается просто: 1. Если уже есть в центральном офисе домен, значит берется сервер, ставится на него винда, вводится в домен 2. потом запускается dcpromo как второй контроллер домена. 3. Потом создается сайт и второй сервер помещается в этот сайт. 4. пользоваться.

и вот: http://technet.microsoft.com/en-us/library/cc781496(v=ws.10).aspx http://support.microsoft.com/kb/324753

Верно глаголишь, поддомен создавать - это значит что если делать бэкап AD, то надо бэкапить оба поддомена, а если какой-то упадет - восстановить не получится да и админить сложнее. В рамках одного домена просто и без особенных вопросов.

Сам осилишь, там все просто. Только денег потратить на виндовый сервак во вторую сетку. Если филиал маленький, меня бы жаба запилила.

Тогда что мешает поднять VPN между офисами и завести все в AD головного офиса?

Забавно будет при порче линка между офисами, головняк на ровном месте.

Если в филиале 60 человек, то с нагрузкой спокойняк справится рабочая станция с 4-мя гигами ОЗУ винтом на 40 Гб и каким-нибудь двуядерником. тем более, что win2k3.

не будет головняка. Есди правильно сделать АД - будет норм. Пока не починит VPN - не будут синкаться контроллеры доменов. починит, принудительно запустить - и будет счастие.

я не про железо, я про софт

А вот если не делать сайт АД в филиале - тогда да, ..опа.

Про софт

2003 уже не продается, значит скачать на торрентах и ставить ломанный. Даунгрейд уже не пройдет. End of Life для 2003 сервера Апрель 2015 года... Если уже хочется делать на винде, лучше брать 2012 или 2008.

А цена, да доставляет...

Если делать один контроллер домена и ВПН - то будет такая картинка - дооолгая авторизация клиентов (конечно от скорости зависит канала), и если ВПН ляжет - может быть такой вариант когда никто не сможет авторизоваться в домене (читай залогиниться)...

Хотя это зависит от настроек политик безопасности - там указвается в течение какого периода можно логиниться под доменной учеткой без DС.

Линк у нас таки хороший, и впн между офисами есть. Получается, это самое правильное решение — не городить у себя новый контроллер, пусть все авторизуются на удаленном, головном контроллере.

Пара глупых вопросов:

в случае недоступности оного, чем грозит вот это «никто не сможет авторизоваться в домене (читай залогиниться)»? Рабочие станции будут неюзабельны, или что-то еще?

можно ли у себя держать slave контроллер, чтобы как с БД — синхронизация проходила про расписанию, а в случае чего можно было бы переключиться на него?

Ну, будет ой :) Если не поднимать свой контроллер домена, а пользоваться только тем, что в голове.

Но я имел ввиду поднять свое, и сделать его подчиненным. Тогда они просто не будут синхронизироваться, а остальное все будет в порядке.

ЗЫ Ради такого количества людей городить огород со своим доменом, лесами и т.д. - это бред, имхо.

А вот тут товарищ пишет что такого понятия как master/slave нету. Просто несколько контроллеров в одном домене, и они синхронизируются. http://social.technet.microsoft.com/Forums/windowsserver/en-US/2a99a77c-8a1d-...

Получается, я делаю так:

1. устанавливаю свой DC у себя и «ввожу» его в существующий домен.

2. все данные синкаются

3. управлять юзерами можно и на одном и на втором

4. логинить тоже можно и там и там

5. в случае недоступности одного из них — можно продолжать работу на другом

Правильно?)

Глупые вопросы, на которые хотелось бы знать ответы:

в случае недоступности оного, чем грозит вот это «никто не сможет авторизоваться в домене (читай залогиниться)»? Рабочие станции будут неюзабельны, или что-то еще?

нормально ли себя поведет самба в роли второго контроллера в таком сеттинге?

А вот тут товарищ пишет что такого понятия как master/slave нету. Просто несколько контроллеров в одном домене, и они синхронизируются.

Ну, я это и имел ввиду. Местчковый сленг, быват.

Получается, я делаю так

Где-то так, ага.

«никто не сможет авторизоваться в домене (читай залогиниться)»

Фактически так. Когда ты логинишься в винде под доменной учеткой, у тебя с DC на комп копируется профиль. В течении кого-то времени можно будет логиниться, даже если DC недоступен - потому что локальный профиль есть. Только он может протухнуть, и потребуется его заново подтянуть с DC - вот тут-то логин и отвалится.

Еще будут проблемы с принтерами, заведенными в домен, с сетевыми шарами и вообще все, что взаимодействует с доменной инфраструктурой.

нормально ли себя поведет самба в роли второго контроллера в таком сеттинге?

У, шойтан! Я такими извращениями не занимался. Я, конечно, слышал про чувака, которые на самбе домен поднял. Только он, на сколько помню, зимой в бороду заворачивался.

все понял, большое спасибо!

школьник три дня с венды рассказывает, сидя на арче, о тяготах и лишениях самбового домена, ок. ОП, не слушай таких, изучи работу АД и включай в неё свою четвёртую самбу.